IT-Sicherheit verlangt Open Source

Die Open-Source-Firma Sernet hat einen kapitalen Fehler in Windows entdeckt, den Badlock Bug. Titelt jetzt das Handelsblatt: “Windows wird ein ernstes Problem“? Von Ludger Schmitz*

1205

Zu den zuverlässig wieder aufgewärmten Strategien gegen Konkurrenz gehört es, Angst Verunsicherung und Zweifel zu sähen. Bekannter unter dem Kürzel FUD, was für „Fear, Uncertainty and Doubt“ steht. Die Methode ist in der IT seit fast einem halben Jahrhundert erprobt, gegen Open-Source-Software richtet sie sich schon so lange, wie es diese gibt.

Dabei kommt dann allerhand Unsinn auf den Tisch

So wird Open Source in den Kontext von Schadsoftware aller Art gestellt, mit Datendiebstahl und Drogennetzwerken. So geschehen Anfang dieses Monats in einem „Handelsblatt“-Artikel: „RSA-Sicherheitskonferenz – Open Source wird ein ernstes Problem“. Ein Schelm, wer Böses dabei denkt. Vollends peinlich wird es allerdings, wenn ein Autor den Vorwurf dadurch zu untermauern versucht, dass IT-Angreifer mit quelloffenen Programmiersprachen arbeiten. „Banküberfälle – Autohersteller werden ein ernstes Problem“ hätte analog eine Überschrift im Handelsblatt heißen können. Was sie natürlich nicht tat.

Die nächste wiederholt auftauchende Argumentation besteht darin, dass Open-Source-Software von irgendwelchen Unbekannten programmiert wird und keiner dafür verantwortlich sei, Fehler in ihr zu suchen und auch zu beheben. Der Vorwurf ist schon gefährlicher, weil er zu einem jenseits der IT verbreiteten, naiven Bild passt, Open Source werde nach Feierabend von ein paar Leuten zusammengefrickelt, die nichts besseres mit ihrer Freizeit anzufangen wissen.

Open-Source-Projekte mögen vielleicht so anfangen, dass ein IT-Fachmann sich etwas programmiert, was ihm fehlt, und dabei Unterstützung von Leuten bekommt, denen es ähnlich geht. Sobald sich aber herausstellt, dass ein Open-Source-Programm hilfreich zur Bewältigung dieses oder jenes Problems ist, sammelt sich eine größere Community, und Firmen werden aufmerksam. Coverity Scan, ein Service, den das US-Ministerium für Homeland Security gegründet hat, analysiert jährlich Software. Im letzten Bericht wurde Open Source wieder einmal bescheinigt, dass Open-Source-Software weniger Fehler enthält als proprietäre.

Kaum ein Anwender des Programms schaut sich offenen Sourcecode an, aber Firmen, die auf der Basis von Open Source arbeiten. Wie das funktioniert zeigte 2014 ausgerechnet der „Heartbleed“-Fehler in der Verschlüsselungssoftware „OpenSSL“, einer der katastrophalsten Fehler in der Geschichte von Open Source. Interessant daran ist, dass er von Google-Spezialisten und parallel von einer finnischen Firma entdeckt und sofort behoben wurde. Bei der weiteren Analyse fanden sich noch mehr Lücken, die das Projekt auch sogleich schloss.

In einer proprietären Software hätte niemand außer dem Hersteller diesen Fehler entdecken können, jedenfalls nicht durch Analyse des Quellcodes, sondern allenfalls durch zufällige Umstände. Und proprietäre Hersteller lassen sich Zeit mit der Behebung von Schwachstellen; das Paradebeispiel für notorisch späte Reaktionen ist Microsoft.

Open-Source-Firmen müssen proprietären auf die Sprünge helfen

Jetzt ist es schon so, dass Open-Source-Firmen proprietären auf die Sprünge helfen müssen. Das jüngste Beispiel ist der „Badlock Bug“. Es war Stefan Metzmacher von der Göttinger Open-Source-Firma Sernet und Mitglied im Samba Core Team, der Mitte März 2016 den Fehler in Windows entdeckt und Microsoft informiert hat. Eine Fehlerbehebung bringt Microsoft am 12. April, ein regulärer „Patch Tuesday“. Dass der Fehler einen Monat lang im Umlauf ist, sagt genug über proprietäre Software im allgemeinen und Microsoft im Besonderen.

Millionen Windows-Anwender müssen zu ihrer Sicherheit, wenn sie auf ihren System nicht automatische Updates eingestellt haben, den Patch herunterladen. Und jetzt warte ich auf diese „Handelsblatt“-Schlagzeile: “Windows wird ein ernstes Problem“

*Ludger Schmitz ist freiberuflicher Journalist in Kelheim.